OPTA gaat onderzoeken of KPN klantgegevens wel goed beschermde

Bestuursvoorzitter van KPN Eelco Blok vorig jaar bij een aandeelhoudersvergadering. De OPTA heeft aangekondigd een onderzoek in te stellen naar de bescherming van klantengegevens door KPN. Foto NRC / Roel Rozenburg

Telecomwaakhond OPTA gaat kijken op KPN heeft voldaan aan zijn wettelijke plicht om klantgegevens te beschermen. Dit naar aanleiding van een hack vorige maand waardoor mogelijk de gegevens van 500 abonnees op straat kwamen te liggen.

Update 19.26 uur: Gelekte gegevens van 500 KPN-klanten afkomstig van Baby-Dump.nl
De gelekte persoonsgegevens van meer dan 500 KPN-klanten zijn afkomstig van de webwinkel Baby-Dump.nl. Eerder werd gedacht dat de hackers persoonsgegevens van KPN-zelf in handen hadden gekregen, maar IT-journalist Brenno de Winter ontdekte dat dat niet het geval is. Dat meldt nos.nl.

Baby-Dump is een grote website voor baby-artikelen. Verscheidene mensen die op de lijst staan bevestigen tegenover de nos dat ze bij die webwinkel artikelen hebben besteld. Veel mensen gebruikten de naam van de winkel ook als wachtwoord.

De hackers publiceerden op internet een lijst met daarin alleen klanten van KPN. Het lijkt erop dat ze de klantenlijst van Baby-Dump filterden op e-mailadressen van KPN.

Nos-verslaggever Jeroen Wollaars legt uit hoe de gegevens van ruim 500 KPN-klanten online kwamen:

OPTA zei eerder vandaag een onderzoek in te stellen naar KPN
KPN haalde vrijdag alle mailadressen van klanten uit de lucht toen bleek dat er gegevens op straat lagen. Een woordvoerder van de OPTA zegt vandaag tegen Nos.nl:

“Uit het onderzoek moet blijken of KPN genoeg maatregelen heeft genomen om te zorgen dat de beveiliging op orde is.”

KPN is net als andere providers verplicht om technische en organisatorische maatregelen te nemen om te voorkomen dat klantgegevens uitlekken.

Na de hack gingen er geluiden op dat KPN gebruik maakte van verouderde software. De OPTA kijkt onder meer of dat het geval was en of dat verwijtbaar is.

De OPTA is de onafhankelijke toezichthouder voor de telecombranche. KPN kan een boete krijgen als er verwijten worden vastgesteld.

Mailproblemen KPN nog niet opgelost, accounts gefaseerd vrijgegeven

De mailproblemen bij KPN zijn overigens nog niet opgelost. De e-mailadressen zouden om 09.00 uur weer actief zijn, maar daar kwam KPN op terug. Er zijn extra controles nodig waardoor het herstel langer duurt.

KPN zegt dat het de accounts gefaseerd gaat vrijgeven, zodat de site niet overbelast raakt als iedereen in één keer probeert in te loggen.

KPN laat op zijn website weten het erg vervelend te vinden voor al zijn klanten.

“Maar wij hebben toch dit besluit genomen om er zeker van te zijn dat klanten eenvoudig, snel en veilig hun wachtwoord zullen kunnen resetten.”

Minister Opstelten van Veiligheid en Justitie wil nog niet reageren op de beveiligingsproblemen bij KPN. Hij zegt alleen tegen nos.nl:

“De nationale veiligheid is niet in gevaar en ook de vitale infrastructuur is niet aangetast.”

De minister benadrukt dat KPN een particulier bedrijf is, maar erkent dat het bedrijf een groot probleem heeft. Opstelten stuurt later een brief naar de Kamer over de kwestie.